L’Unione Europea avvia un programma di ricerca bug per l’open source

L’Unione Europea avvia un programma di ricerca bug per l’open source

La commissione dell’UE ha deciso di concentrare i propri sforzi sui bug bounty destinati ai software open source

Di norma sono le grandi aziende hi-tech, come Facebook, Google, Microsoft ad avviare programmi di ricerca bug. Il motivo è semplice: da un lato si consolida il proprio rapporto con sviluppatori e appassionati, dall’altro ci si assicura che le menti più scaltre si mettano al lavoro per individuare possibili falle che possono creare pesanti grattacapi in futuro, se non patchate. Cosa c’entra dunque l’Unione Europea in tutto questo? L’organo continentale ha infatti deciso di avviare  iniziative di bug bounty rivolte al software open source.

Molte commissioni e uffici della UE usano programmi con licenza aperta, che possono essere, come tutti gli altri, oggetto di attacco e scouting di zero days da parte di terzi. Assicurare la correttezza dei programmi non è solo consigliato per un soggetto del genere ma obbligatorio.

Difendere i paesi

Non a caso, l’Unione Europea coinvolge 27 paesi e, come tale, ha la necessità di proteggere al meglio le infrastrutture ad essa direttamente dipendenti, come gli uffici di Bruxelles. Per questo, l’eurodeputata tedesca Julia Reda ha svelato il programma bug bounty per 15 software, tra i più utilizzati dalle commissioni. Sono inclusi: 7-zip, Apache Kafka, Apache Tomcat, Digital Signature Services (DSS), Drupal, Filezilla, FLUX TL, la libreria GNU C (glibc), KeePass, midPoint, Notepad+,  PuTTY, il framework PHP Symfony, VLC Media Player e WSO2.

“Il problema è far capire alle persone quanto sia importante il software libero e open source per l’integrità e l’affidabilità di Internet e di altre infrastrutture – ha detto Reda in un annuncio ufficiale – al pari di altre organizzazioni, istituzioni come il Parlamento europeo, il Consiglio e la Commissione si basano sull’open source per gestire i loro siti web e tante altre cose”. I premi del programma di bug bounty vanno da 25 mila euro per falle nel DSS, fino a 90 mila euro, per i moduli PuTTY.

Leggi anche:  Attenzione all'oroscopo: app fake su Google Play utilizzate per diffondere trojan bancari